fragen stichworte

Squid-Konfiguration für https

Mein Problem:

  1. Ich möchte, dass mehrere Client-PCs den Chrome-Browser mit einem http_proxy öffnen und die gesamte Kommunikation über diesen Proxy weiterleiten.
  2. Die http_proxy-Einstellung lautet localhost: 3128 und ein lokaler ssh-Tunnel leitet die Kommunikation an einen Squid-Server weiter.
  3. Der Squid-Server wird so eingestellt, dass nur localhost-Verbindungen auf 3128 behandelt werden.
  4. Der Squid-Server sollte alle Anfragen (http und https) weiterleiten.
  5. Keine andere Funktion nötig! kein Caching, keine Überwachung, etc. Nur Weiterleiten.
  6. Der Squid-Server wird von mehreren Ports zu verschiedenen ausgehenden IP-Adressen weitergeleitet.

Ich habe die folgende squid.conf verwendet:

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl SSL method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost

# configuring port 3128 to 1.2.3.4 # there's a real IP here
http_port 127.0.0.1:3128 name=3128
acl port3128 myportname 3128 src 127.0.0.1
http_access allow port3128
tcp_outgoing_address 1.2.3.4 port3128

# configuring port 3129 to 1.2.3.5 # there's a real IP here
http_port 127.0.0.1:3129 name=3129
acl port3129 myportname 3129 src 127.0.0.1
http_access allow port3129
tcp_outgoing_address 1.2.3.5 port3129

Mit dem obigen Setup funktioniert http gut, aber https funktioniert nicht. Das ist die Website erscheint überhaupt nicht. Ich habe das hauptsächlich mit google.com versucht. Merkwürdigerweise funktioniert https://www.amazon.com!

Was sollte die richtige Konfiguration für dieses Szenario sein?

antworten

Die von Ihnen verwendete Software "local ssh tunnel" benötigt eine Verbindung zu einem https_port auf Squid, der HTTP über TLS akzeptiert. Die Direktive "http_port" empfängt nur unverschlüsselte HTTP-Syntax.

Der Proxy-https_port sollte mit einem regulären Server-TLS-Zertifikat konfiguriert sein und funktioniert einwandfrei, solange die Tunnelsoftware auf der Clientseite der Zertifizierungsstelle vertraut, mit der das Proxy-Zertifikat signiert wurde.